Hans-Peter123 Gast |
Hallo.
Nachdem ich ein Firefox update installiert habe hab ich plötzlich eine neue leiste in meinem brwoser.
myglobalsearch heißt das ding.
es hat sich auch auf den internetexplorer und den explorer ausgeweitet.
ich tipp mal auf browser hijacker, da ich auch nirgends einen eintrag für dieses programm finde.
wie bekomm ich das teil wieder los OHNE das system wieder komplett platt zu machen und alles neu zu installieren?
hier die logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:20:45, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\WLAN Monitor\accwpac.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\proggis\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87A557F47283EC2 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{037425D1-2E07-4D2F-8865-96BAA3B869A8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{037425D1-2E07-4D2F-8865-96BAA3B869A8}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{037425D1-2E07-4D2F-8865-96BAA3B869A8}: NameServer = 192.168.1.1
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
Hallo,
fixe mit HijackThis Tool diesen Eintrag um die Adware “MyGlobalSearch“ abzuschalten:
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
und auch diese ...
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87A557F47283EC2 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten
Im Anschluss lösche unbedingt bitte deinen Browser Cache und alle sonstigen Temporären Dateien, ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.
Weiter lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen um die Virenerkennungsdatenbank auf den aktuellen Stand zu bringen!
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.
Hallo,
nach dem "fixen" mit Hijackthis,solltest du unbedingt ohne Neustart in "Software" nach der "Zango exe" schauen und sie deinstallieren.Beim nächsten Neustart ist sie sonst wieder aktiv.
Bei der Gelegenheit schaust du auch gleich mal ,ob sich was von "global search bar" findet,Falls ja ,raus damit.
Sir Reklov
Hallo,
nach dem "fixen" mit Hijackthis,solltest du unbedingt ohne Neustart in "Software" nach der "Zango exe" schauen und sie deinstallieren.Beim nächsten Neustart ist sie sonst wieder aktiv.
Bei der Gelegenheit schaust du auch gleich mal ,ob sich was von "global search bar" findet,Falls ja ,raus damit.
der O3-Eintrag mit Toolbar "global search" muß auch noch raus.
Sir Reklov
hallo.
tut mir leid, dass ich jetzt erst schreibe; hatte aber viel um die ohren. also nachdem ich in die software geschaut habe (also systemsteuerung->software) war der eintrag plötzlich da von myglobalsearch. da war er vorher nicht. dann konnte ich das ding einfach deinstallieren und nach dem neustart ist es jetzt weg. danach hab ich mal noch den ordner unter c:\programme gelöscht welcher immer noch mit irgendwelchen historys vorhanden war.
also ich danke euch bis hierhin war wohl doch kein böser trojaner oder sowas. einfach ein unverschämtes programm, welches sich anscheinend mal eben so mit dem Firefox-update installiert hat.
ps: die werbung hier auf der seite wird immer dreister und nerviger! kommt mal wieder runter und befreit eure foren von diesem müll.
Hallo, bei mir ist das Ding auch grade zusammen mit einem Firefox-Update aufgetaucht, mit ABP-Update um genau zu sein. Und ich bin mir ganz sicher, dass es damit kam. Antvir behauptet es handle sich dabei um einen Keylogger. Weiß da vielleicht jemand genaueres? Danke
Hallo,
das letzte Firefox Update ist schon ein ganzes Weilchen her...
Entweder du lebst eh rechts hinter dem Mond ,oder dein Update ist aus einer höchst unseriösen Quelle gekommen.
In beiden Fällen ist das alleine deine Schuld.
Hättest du den Thread erst gelesen und dann gepostet ,hättest du auch sicher ein Hijackthis Logfile mit eingestellt.... 
Sir Reklov
| « Bitte schalten Sie den PC jetzt aus! | Bootvirus entfernen - wie kriegt man SIGN2 mit 14,9 MB auf ein 1,44 MB Disk? » | ||
